Creditcardbedrijf ICS krijgt AVG-boete wegens ontbreken risicoanalyse privacy

Online auth: groot impersonatie-risico
Online authenticatie voor risicovolle zaken (zoals bij creditcards en andere leningen) schreeuwt om impersonatie en identiteitsfraude. En hoe krachtiger AI wordt, hoe eenvoudiger impersonatie zal zijn en hoe meer onschuldige slachtoffers er zullen vallen.

Het uitganspunt van organisaties zoals ICS lijkt te zijn dat authenticatie online moet plaatsvinden, waarna men gaat kijken hoe dat zo voordelig mogelijk kan terwijl de risico's voor de organisatie zélf zo klein mogelijk zijn.

Verbetering: offline auth indien belangrijk
M.i. hebben we in Nederland, vergelijkbaar met GeldMaat geldautomaten, authenticatiekantoren (of balies in bestaande bedrijven) nodig - offline TTP's zeg maar. Uitsluitend goed opgeleid en streng gescreend personeel zou daar identiteitsbewijzen op vervalsingen moeten checken en de pasfoto (en andere karakteristieken) op zo'n "legitimatiebewijs" met de melder moeten vergelijken, waarna de gewenste transactie kan worden uitgevoerd (en bekend is en gelogd wordt wie de verifieerder is).

Dit is niet alleen in het belang van individuen op wiens naam bijv. leningen worden afgesloten, maar helpt m.i. ook beter om witwaspraktijken te voorkómen.

Nb. 100% veilig is ook offline authenticatie niet, maar criminelen houden er niet van om fysiek aanwezig te zijn tijdens een zorgvuldig authenticatieproces - vooral niet als zij, tijdens dat proces, gefilmd worden en de beelden lang genoeg worden bewaard. Dergelijke beelden kunnen, mits niet manipuleerbaar, slachtoffers van eventuele identiteitsfraude ook helpen bewijzen dat "it wasn't me" - iets dat met online-auth extreem moeilijk kan zijn.

Voorbeeld
Indien ICS een DPIA had uitgevoerd, had zij zich moeten realiseren dat uitsluitend online authenticatie tot vergrote risico's voor haar klanten leidt.

Bijvoorbeeld: indien je, voor het vóórtijdig aanvragen van een nieuwe creditcard óók naar zo'n balie zou moeten, had dat een slachtoffer zoals deze kunnen helpen voorkómen.

Dat incident leidde vervolgens ook nog eens tot een absurde uitspraak van het Kifid - in het voordeel van ICS. Dit kan namelijk iedereen overkomen op wiens PC, tablet of smartphone malware actief is of was.

Uit die uitspraak (PDF):

De vraag is of de consument in juridische zin -grof nalatig heeft gehandeld met betrekking tot het naleven van deze veiligheidsvoorschriften. Hoewel het aan ICS is om te stellen en - na gemotiveerde betwisting door de consument - te bewijzen dat sprake is van grove nalatigheid aan de zijde van de consument, rust op de consument een verzwaarde motiveringsplicht. Dat betekent dat de consument tenminste enig inzicht dient te geven in de wijze waarop een onbevoegde derde de mogelijkheid heeft gehad om in te loggen op Mijn ICS en een nieuwe creditcard aan te vragen.

Het Kifid concludeert vervolgens, zonder daar ook maar enig bewijs voor te leveren, dat de klant grof nalatig heeft gehandeld. Daarmee wijkt het Kifid af van de wet, waarin duidelijk staat dat de bewijslast bij de bank ligt - en niet dat de klant zou moeten motiveren wat er gebeurd zou kunnen zijn (IANAL: nemo-tenetur? Ook bij ICS kunnen echter foute mensen rondlopen, en er kan iets gebeurd zijn dat ook ik nu niet kan bedenken).

Deze Kifid-uitspraak kan off-topic lijken, maar dit valt m.i. tevens onder de risico's die je loopt als klant van ICS, en had m.i. dus in de DPIA moeten worden meegenomen.

Discussie
"Privacy" is een begrip dat vaak heel verschillend wordt uitgelegd. Persoonlijk vind ik dat het risico op identiteitsfraude en/of impersonatie hier ook onder valt.

Uit eigen ervaring (met o.a. ISO 2700x, NEN 7510, BIO e.d.) weet ik dat bedrijven, andere NGO's en overheden, hoofdzakelijk of uitsluitend focussen op hun eigen risico's, en niet die van klanten of burgers (maar ook niet van andere stakeholders, zoals supply chains - een ander topic).

Veel te vaak blijft reputatieschade beperkt na een datalek, o.a. door de (potentiële) schade voor klanten te bagatelliseren {1}, in kleine stapjes te bekennen dat er "onverwacht" meer slachtoffers zijn, of door te stellen dat een hack iedereen kan overkomen (mijn samenvatting van deze ransomware-aanval op een Britse gemeente).

{1}: Zelfs met slechts contactgegevens worden in toenemende mate mensen afgeperst.

Daarom vind ik dat tijdens een DPIA alle risico's van klanten -ten gevolge van de relatie met de uitvoerder van de DPIA- zouden moeten worden gewogen. Het zou m.i. goed zijn als je voor een zorgvuldig uitgevoerde DPIA een landelijk (of EU-) erkend certificaat zou kunnen verkrijgen. Daarmee zouden consumenten beter het kaf van het koren kunnen scheiden.

Conclusie
Tuurlijk, authenticatie vanaf jouw zitbank is lekker chill. Maar jouw voordeel betekent ook ellende en hoge kosten voor mensen die het vaak al niet breed hebben. Gemak dient niet alle mensen, maar wel veel criminelen.

Een tussenoplossing zou kunnen zijn dat je kunt opt-outen van offline-auth door je eenmalig te melden aan een balie daarvoor; de mensen die dat risico willen nemen, kunnen daarna weer bankzitten.

Hoe dan ook moeten DPIA's worden uitgevoerd. M.i. moeten daarbij alle risico's voor klanten of burgers t.g.v. de relatie worden meegenomen, en zou het goed zijn als organisaties middels een audit en certificaat (kunnen) aantonen dat zo'n DPIA is uitgevoerd en wordt nageleefd.

Meer over mijn stelling dat het, bij authenticatie, er in de éérste plaats om gaat hoe lastig impersonatie is, lees je hier (lang stuk).

Er rammelt iets in dit geheel. Er staat in het besluit dat er in 2019 klachten zijn binnengekomen over het proces en hier dat er in 2021 een DPIA is gedaan en er toen niets aan de hand was. Dat kan beiden best kloppen, maar het suggereert dat er niets aan de hand was behalve een ontbrekende DPIA.

Eén van de mensen die in 2019 een klacht indiende bij de AP was ik. De reden van de klacht was dat ICS mij vroeg om een kopie van mijn ID via email en zonder enige vorm van beveiliging (!) naar ze toe te sturen. Toen ik daar navraag over deed, gaf ICS aan dat dat volkomen veilig was. Ik ben toen maar niet verderde discussie aangegaan en heb meteen maar een klacht ingediend gezien ze zo clueless waren.

Mijn klacht is in 2020 uiteindelijk door de AP gesloten omdat ICS dingen verbeterd zou hebben. Ze hebben inderdaad een webportal ingevoerd, waar ik op zich wel genoegen mee kon nemen. Maar mijn intentie daarbij was niet bepaald dat ICS nu hun complete gebrek aan beveiliging kan verhullen door te zeggen dat volgens hun latere DPIA niets aan de hand was. Ik hoop wat dat betreft dat er nog een ander besluit van de AP op de plank ligt over het complete gebrek aan beveiliging, maar dat zal wel ijdele hoop zijn.

Over privacy lekkage en toezicht gesproken: ik zou graag willen dat het verplicht wordt dat je dit soort bedrijven terug kunt bellen, op een gepubliceerd nummer!

Steeds vaker wordt je gebeld door organisaties, zoals ICS, die je vervolgens eerst het hemd van het lijf vragen om vast te stellen dat jij het bent. Dat phishing gedrag zouden ze op die manier verplicht zijn .

Eh.. maar hoe weet ik dan dat de beller is wie deze zegt te zijn? Ik vroeg het onlangs FBTO: "U ziet een FBTO telefoonnummer, meneer." Auch.. als iets makkelijk is te spoofen. En het was niet eens het nummer dat ik op de website kon vinden, maar terugbellen kon ook niet.

Zelf de medewerker terugbellen, via een betrouwbaar terug te vinden nummer (bijv. bedrijfswebsite, of eerdere correspondentie), kan eigenlijk nooit